Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: iptables+openvpn  (Прочитано 3093 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн mr_lexus

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
iptables+openvpn
« : 05 Апрель 2010, 06:13:20 »
Добрый день ! подскажите пожалуйста, в чём причина, уже всё голову поломал, нимогу понять.
Проблема в следующем, есть openvpn и iptables, vpn работает, всё прекрасно, запускаю iptables и вот тут начинается, с сервака вижу сеть за vpn-ом, а с кампов в сети не вижу сеть за vpn-ом. искал в чём глюк, выяснил только то что глюк в цепочке FORWARD, когда её по умолчанию делаешь ACCEPT, всё работает, стоит сделать как и должно быть DROP, всё, кампы в сетке не видят сеть за vpn-ом. =( выкладываю конфиг iptables

(Нажмите, чтобы показать/скрыть)

Оффлайн podkovyrsty

  • Старожил
  • *
  • Сообщений: 1547
  • Content-Type: alternative
    • Просмотр профиля
Re: iptables+openvpn
« Ответ #1 : 05 Апрель 2010, 10:31:19 »
Таки это не конфиг iptables, это скрипт для конфигурирования.
Дай iptables-save пожалуйста.
Шаг за шагом можно достичь цели.

Оффлайн mr_lexus

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
Re: iptables+openvpn
« Ответ #2 : 05 Апрель 2010, 11:13:00 »
Вот

(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 05 Апрель 2010, 11:15:30 от mr_lexus »

Оффлайн podkovyrsty

  • Старожил
  • *
  • Сообщений: 1547
  • Content-Type: alternative
    • Просмотр профиля
Re: iptables+openvpn
« Ответ #3 : 05 Апрель 2010, 11:36:35 »
А что подразумевается под фразой "не видят".
Шаг за шагом можно достичь цели.

Оффлайн mr_lexus

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
Re: iptables+openvpn
« Ответ #4 : 05 Апрель 2010, 11:42:02 »
то и подразумевается ))) моя сеть не видит компьютеры которые в другой конторе, которая подключена через Openvpn. как только политику в цепочке FORWARD ставишь ACCEPT, то всё работает, но это не правильно, должно стоять DROP, но токогда кампы не видятся.

Оффлайн podkovyrsty

  • Старожил
  • *
  • Сообщений: 1547
  • Content-Type: alternative
    • Просмотр профиля
Re: iptables+openvpn
« Ответ #5 : 05 Апрель 2010, 12:02:41 »
Ну, для меня, "не видят" - это может быть отсутствие пинга, может отсутствие доступа по определенному порту ...
Шаг за шагом можно достичь цели.

Оффлайн mr_lexus

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
Re: iptables+openvpn
« Ответ #6 : 05 Апрель 2010, 12:04:39 »
ну вот, я тебе объяснил ))) ни по rdp ни пинги не проходят :) вот и сижу голову ломаю в чём прикол...есть какие нибудь соображения ? ))

Оффлайн podkovyrsty

  • Старожил
  • *
  • Сообщений: 1547
  • Content-Type: alternative
    • Просмотр профиля
Re: iptables+openvpn
« Ответ #7 : 05 Апрель 2010, 12:42:48 »
Если пинги не проходят - нет разрешения на про ход ICMP траффика типа 0 и 8
-----\\---- rdp -----\\-----      - нет разрешения на tcp траффик на порт 3389
Шаг за шагом можно достичь цели.

Оффлайн mr_lexus

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
Re: iptables+openvpn
« Ответ #8 : 05 Апрель 2010, 12:46:08 »
да я вроде не дурак )) понимаю это )) но дело та втом что есть правило
A FORWARD -i vlan30 -o tun0 -j ACCEPT
насколько я понимаю это правило пересылает все пакеты с локального интерфейса на интерфейс vpn =)

Оффлайн podkovyrsty

  • Старожил
  • *
  • Сообщений: 1547
  • Content-Type: alternative
    • Просмотр профиля
Re: iptables+openvpn
« Ответ #9 : 05 Апрель 2010, 13:01:24 »
Угук, разрешает пересылку, но перед ним еще стопка

-A FORWARD -p tcp -j bad_packets
-A FORWARD -s 10.110.0.48/32 -i vlan30 -o vlan40 -j ACCEPT
-A FORWARD -s 10.110.0.87/32 -i vlan30 -o vlan40 -j ACCEPT
-A FORWARD -s 10.110.0.34/32 -i vlan30 -o vlan40 -j ACCEPT
-A FORWARD -i vlan30 -p tcp -j tcp_outbound
-A FORWARD -i vlan30 -p udp -j udp_outbound
-A FORWARD -i vlan30 -p icmp -j icmp_outbound

-A FORWARD -i vlan40 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG --log-prefix "fp=FORWARD:99 a=DROP "
-A FORWARD -i vlan30 -o tun3 -j ACCEPT
-A FORWARD -d 10.110.0.2/32 -i tun3 -o vlan30 -j ACCEPT

Выделенные зеленым могут на нее (пересылку) влиять, вот только мне пока непонятно, какая этим правилам разница на дефолтную политику.

Точно только политка меняется?
Тоесть выполняешь iptables -P FORWARD ACCEPT - все работает
выполняешь -P FORWARD DROP не работает

Или ты скрипт запускаешь каждый раз?
Шаг за шагом можно достичь цели.

Оффлайн mr_lexus

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
Re: iptables+openvpn
« Ответ #10 : 05 Апрель 2010, 13:21:08 »
Да, я в скрипе политику меняю на ACCEPT, работает, ставлю DROP, всё, перестаёт :(

Оффлайн podkovyrsty

  • Старожил
  • *
  • Сообщений: 1547
  • Content-Type: alternative
    • Просмотр профиля
Re: iptables+openvpn
« Ответ #11 : 05 Апрель 2010, 13:31:06 »
Ну так давай возьмем, например, rdp

правило которое его цепляет это -A FORWARD -p tcp -j bad_packets, но bad_packets пуста, поэтому идем дальше, а дальше он попадает в -A FORWARD -i vlan30 -p tcp -j tcp_outbound, смотрим tcp_outbound и видим -A tcp_outbound -p tcp -m tcp --dport 3389 -j allowed, смотрим allowed ... смотрим ...  -A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT, тоесть

пакет SYN вроде как ушел, теперь ждем ответ, это forward -i tun0:
-A FORWARD -d 10.110.0.1/32 -i tun0 -o vlan30 -j ACCEPT
-A FORWARD -d 10.110.0.100/32 -i tun0 -o vlan30 -j ACCEPT

тоесть ответ вернется только к 10.110.0.1 и 10.110.0.100, а остальные уйдут в дроп, потому что больше правил в форварде нет, дай угадаю, ты ведь не с этих 2-х компов пытался коннектиться?
« Последнее редактирование: 05 Апрель 2010, 13:32:48 от podkovyrsty »
Шаг за шагом можно достичь цели.

Оффлайн mr_lexus

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
Re: iptables+openvpn
« Ответ #12 : 05 Апрель 2010, 13:32:22 »
нет :)))

Оффлайн podkovyrsty

  • Старожил
  • *
  • Сообщений: 1547
  • Content-Type: alternative
    • Просмотр профиля
Re: iptables+openvpn
« Ответ #13 : 05 Апрель 2010, 13:35:58 »
Ну вот и решение, с пингом та же картина.
Шаг за шагом можно достичь цели.

Оффлайн mr_lexus

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
Re: iptables+openvpn
« Ответ #14 : 05 Апрель 2010, 13:39:25 »
:) Ты мой спаситель !  :2funny:
щас поправил скрипт, убрал оттуда -d 10.110.0.1 и всё, пошло, поехало :)) Ещё раз огромное спасибо :)

 

Страница сгенерирована за 0.08 секунд. Запросов: 22.